Popis a aktualizácia aktívny objekt adresára AdminSDHolder

Preklady článku Preklady článku
ID článku: 232199 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

SUHRN

Informácie v tomto článku sa vzťahuje iba na modernizáciu z Windows 2000 RC2 (alebo staršej stavia) na verziu systému Windows 2000 Zmeny v systéme Windows 2000 RC3 na zoznam riadenia prístupu (ACL) z objekt služby Active Directory AdminSDHolder. Tento objekt sa používa na kontrolu povolenia používateľské kontá, ktoré sú členmi vstavané správcovia alebo Skupiny Správcovia domény.

Každý hodinu, radič domény systému Windows 2000, ktorý vlastní primárnou doménou radič flexibilné jedného Master operácie () rolu FSMO možno porovnáva ACL na všetky bezpečnostné objednávateľov (používatelia, skupiny a stroj kontá) predstavujú pre jeho domény služby Active Directory a že sú v správnych skupinách proti ACL na nasledujúci objekt:
KN = AdminSDHolder, CN = System, DC =MyDomainDC =Com

Nahradiť "DC =MyDomainDC =Com"v túto cestu s Rozlišujúci názov (DN) vašej domény.
Ak ACL odlišná, ACL na objektu používateľa je prepísať, aby zohľadnili nastavenia zabezpečenia objektu AdminSDHolder (ktorý zahŕňa vypnutie ACL dedičstva). Toto chráni tieto administratívne účty z upravil neoprávneným používateľom ak účty sú premiestnené do kontajner alebo organizačnú jednotku, v ktorej bola delegovaná používateľ správcovské oprávnenia na úpravu používateľské kontá. Všimnite si, že keď používateľ sa odstráni zo správnej skupiny, proces je nerušila a musí byť manuálne zmenené.

POZNÁMKA: Použitím nasledovného postupu sa nevyžaduje, ak ste Aktualizácia Microsoft Windows NT 4.0 na verziu systému Windows 2000.

DALSIE INFORMACIE

Na nápravu tejto situácie, použite tento postup na jednej doméne radič za doménu:
  1. Nainštalujte nástroje technickej podpory systému Windows 2000 z Windows 2000 Professional alebo Server CD-ROM. Tieto nástroje patrí utilitu s názvom Dsacls.exe, ktoré môžete použiť na zobrazenie, úpravu alebo odstránenie položiek prístupových na objekty služby Active Directory.
  2. Vytvorte dávkový súbor s týmto textom, nahradenie "DC =MyDomainDC =Com"s Rozlišujúci názov (DN) vašu doménu):
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Everyone:CA;Zmeniť heslo"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibilné prístup: RP;Informácie o vzdialenom prístupe"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibilné prístup: RP;Všeobecné informácie"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibilné prístup: RP;Členstvo v skupine"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibilné prístup: RP;Prihlasovacie informácie"
    dsacls "cn = adminsdholder, cn = system, dc =mydomain, dc =com"/G" \Pre-Windows 2000 kompatibilné prístup: RP;Obmedzeniach konta"
  3. Spustite dávkový súbor na radiči domény. Dodáva Zadaný položky riadenia prístupu (ACE) pre Everyone a systém starší ako Windows 2000 Kompatibilné prístup skupín.
  4. Do príkazového riadka, zadajte dsacls KN = adminsdholder, cn = system, dc =mydomain, dc =com, nahradenie "DC =MyDomainDC =Com"s Rozlišujúci názov (DN) vašej domény). Porovnať s nasledujúcim výstup:
    Access list:
    {This object is protected from inheriting permissions from the parent}
    Effective Permissions on this object are:
    Allow NT AUTHORITY\Authenticated Users            SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Administrators                      SPECIAL ACCESS
                                                      DELETE
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow IFRPILOT\Enterprise Admins                  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow FAA\Domain Admins                           SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      WRITE PERMISSIONS
                                                      CHANGE OWNERSHIP
                                                      CREATE CHILD
                                                      DELETE CHILD
                                                      LIST CONTENTS
                                                      WRITE SELF
                                                      WRITE PROPERTY
                                                      READ PROPERTY
                                                      LIST OBJECT
                                                      CONTROL ACCESS
    Allow NT AUTHORITY\SYSTEM                         FULL CONTROL
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS
                                                      READ PERMISSONS
                                                      LIST CONTENTS
                                                      READ PROPERTY
                                                      LIST OBJECT
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Remote Access Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for General Information
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Group Membership
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Account Restrictions
                                                      READ PROPERTY
    Allow BUILTIN\Pre-Windows 2000 Compatible Access  SPECIAL ACCESS for Logon Information
                                                      READ PROPERTY
    Allow Everyone                                    Change Password
    					

Vlastnosti

ID článku: 232199 - Posledná kontrola: 23. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kľúčové slová: 
kbenv kbinfo kbmt KB232199 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:232199

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com